VMWare vCenter деактивира предупреждение за самоподписано удостоверение

Когато се свързвате със сървър на VMWare vCenter с браузър, се появява предупреждение за използване на самоподписан сертификат, издаден от неподправен сертификатен орган. В Firefox и други браузъри това предупреждение се премахва, като просто добавите сайта vCenter към списъка с изключения, в Internet Explorer е малко по-сложно.

SSL сертификатите, инсталирани по подразбиране с ESXi и vCenter сървъри, се самоподписват и съответно други системи не им се доверяват, издавайки предупреждение или блокирайки връзка с такива сайтове. За да деактивирате предупреждението за самоподписан сертификат, можете да добавите самоподписания сертификат към списъка на доверени или да замените сертификата със собствен сертификат, издаден от доверен сертификатен орган. Ще разгледаме първия вариант, процедурата като цяло е доста тривиална, но има няколко не съвсем очевидни точки.

Така че, когато отворите уеб страницата на сървъра vCenter в браузър, се появява прозорец със следното предупреждение:

Има проблем със сертификата за сигурност на този уебсайт.
Сертификатът за сигурност, представен от този уебсайт, не е издаден от доверен сертификатен орган.
Сертификатът за сигурност, представен от този уебсайт, е издаден за друг адрес на уебсайта.
Проблемите със сертификата за сигурност могат да показват опит за заблуда или прихващане на данни, които изпращате до сървъра.

забележка. предупредителен Сертификатът за сигурност, представен от този уебсайт, е издаден за друг адрес на уебсайта Тя се показва оттогава в нашия случай името на хоста е различно от името на CN, за което е издаден сертификатът. За да не се показва това предупреждение, е необходимо да се отвори името FQDN в браузъра, за който е издаден сертификатът. Между другото, за удобство този сертификат може да бъде заменен със собствен, създаден с помощта на командлета New-SelfSignedCertificate, който ви позволява да издадете сертификат за произволен набор от CN.

Като кликнете върху връзката Продължете към тази връзка към уебсайта (не се препоръчва), Можете да отидете на началната страница на vCenter. За да изтеглите сертификата, щракнете върху връзката Изтеглете надеждни сертификати за root CA.

Запазете файла в произволна директория. Име на файл изтегляне (файлът няма разширение).

След това променете разширението на файла изтегляне за изтегляне.цип и го разопаковайте с помощта на вградения архиватор (екстракт всички).

Вътре в съдържанието на архива на cert има 2 файла, единият има разширение .0 , на втория .r0. Променете разширението на файла .0 за .сег.

Остава да добавите този root сертификат на CA в списъка с доверие. Да предположим, че искаме този сертификат да се вярва само на текущата сметка. Нека отворим конзолата certmgr.MSC, нека да преминем към раздела Сертификати > Trusted корен сертифициране Властите. И в контекстното меню отворете съветника за импортиране на сертификати (внос).

Изберете получения по-рано файл със сертификат и го поставете в хранилището Trusted корен сертифициране Властите.

Потвърдете добавянето на сертификат.

В списъка трябва да се появи нов сертификат с име CA..

Отново отворете страницата на vCenter в браузъра. Предупреждение не трябва да се показва.

забележка. Ако е необходимо, за да разпространите този сертификат на компютри с домейни, можете да се възползвате от функциите на груповите правила (Инсталиране на сертификат на компютри, използващи GPO).

Тази инструкция се отнася за vCenter Server Appliance, в случай на употреба Windows vCenter Server, изтеглете файла на сертификата по този начин няма да успее, защото липсва връзка за изтегляне на архива със сертификата. Този файл се съхранява на vCenter Server (под Windows) в директорията C: \ ProgramData \ VMware \ SSL \. (в по-старите версии на C: \ Programdata \ VMware \ VMware VirtualCenter \ SSL). Сертификатът от тази директория също трябва да бъде импортиран на клиента по същия начин..